Magyar Telekom Minősített e-Szignó Időbélyegzés Szolgáltatási Szabályzata

Magyar Telekom

Minősített Időbélyegzés

Szolgáltatási Szabályzata

Egyedi objektum-azonosító (OID): 1.3.6.1.4.1.17835.7.1.2.11.3.13.2.5

Verziószám:2.5

Hatályba lépés dátuma:……………………………………………………………………2019. 04.01.

Változáskezelés

Verzió-szám

Dátum

A változás leírása

0.90

2003-10-10

Első változat (szakértői munkaanyagok)

0.91

2003-10-26

Javított tervezet (első változat)

0.92

2003-10-31

Javított tervezet (ellenőrzött változat)

0.93

2003-11-30

Javított tervezet (kiegészített és ellenőrzött harmadik változat)

0.94

2003-12-15

A kiviteli dokumentumokkal egyeztetett változat

0.95

2004-01-30

A tesztek és jogi ellenőrzések alapján módosított első változat

0.96

2004-03-05

A szolgáltatói ellenőrzések után javított változat

0,97

2004-03-11

Matáv Workshop utáni javított változat

1.0

2004-03-30

Hatósági kérelemben beadott szabályzat

1.1

2004-07-17

Hatósági szemlét követő változások átvezetése

1.2

2004-09-23

Hatóság részére átadott végső változat

1.3

2005-09-01

Magyar Telekom névváltásának és következményeinek módosítása

1,4

2005-11-15

Hatósági ellenőrzést követő változások átvezetése

1.5

2005-12-30

Hatósági és külső ellenőrzéseket követő változások átvezetése

1.6

2006-07-20

Nemzeti Hírközlési Hatóság Hivatalának észrevételei szerinti javítások

1.7

2006-12-18

Ket.-es fejlesztésekhez és a 2006. évi Hatósági szemléhez kapcsolódó módosítások

1.71

2007-03-10

Hatósági észrevételek szerint valamint az rfc 3647szerint módosított változat

1.8

2009.03.01

A Hatóság észrevételei szerinti módosítás (HL-923-1/2009)

1.9

2010. 06. 20.

Hitelesítés szolgáltatás kivezetésével beállt változások átvezetése

2.0

2010.11.09.

EASZ és Hatósági észrevételek átvezetése

2.1

2011.12.05.

Hatósági észrevétel (9.2 pont javítása) és szervezeti változás átvezetése. Az algoritmus határozatból adódó változások átvezetése

2.2

2014.10.08

Felülvizsgálat, EASZ és Hatósági észrevételek átvezetése, kriptográfiai modul adatainak változása

2.3

2015.12.21

Felelősségbiztosítás adatainak megváltozása

2.4

2017.05.11

Jogszabályi, szervezeti és személyi változások átvezetése. Auditori észrevételek átvezetése

2.5

2019.01.15

Mátrix tanúsító javaslatainak átvezetése

Módosítást készítette:

Domokos Zoltán

Technológiai biztonsági központ

IT biztonsági szakértő

Ellenőrizte:

Dr. Demény Péter

Csoport jogi igazgatóság

Jogi szakértő

Jóváhagyta:

Keszthelyi Zoltán

Technológiai biztonsági központ

központvezető

TARTALOMJEGYZÉK

2Változáskezelés

81Bevezetés

81.1Áttekintés

81.1.1A Szabályzat

81.1.2A Szabályzat hatályai

91.1.3A szolgáltató

101.1.4Szolgáltatások

111.1.5Szabványok és előírások

111.1.6Időbélyegzés-szolgáltatás

121.2A dokumentum neve és azonosítója

121.3PKI szereplők

131.3.1Időbélyegző szervezet

141.3.2Előfizetők, érintett felek

141.3.3Egyéb szereplők

151.4A Szolgáltatási Szabályzat adminisztrálása

151.4.1Adminisztrációért felelős szervezet és kapcsolattartó személy

161.4.2A Szolgáltatási Szabályzat elfogadási eljárása

161.4.3Szabályzat -változtatási eljárások

171.5Meghatározások

181.6Rövidítések és jelölések.

181.7Hivatkozások

202Közzétételre és tárolásra vonatkozó felelősségek

202.1Adatbázisok

202.2Az időbélyegzőkre vonatkozó információk közzététele

212.3A közzététel gyakorisága

212.4Az adatbázisok elérésének szabályozása

223Azonosítás és hitelesítés

223.1Megnevezési konvenciók

223.1.1Márkanevek elismerése, azonosításuk és szerepük

234Működésre vonatkozó követelmények – időbélyegzés

234.1Időbélyegzés szolgáltatás igénylése

244.2Az időbélyegzés szolgáltatás teljesítése

244.3Minősített Időbélyegzés-szolgáltatás joghatása

244.4Az időbélyegzés szolgáltatás igénybevételének vége

255Elhelyezési, irányítási és működtetési előírások

255.1Fizikai előírások

255.1.1A telephely elhelyezése és szerkezeti felépítése

265.1.2Fizikai hozzáférés

265.1.3Áramellátás, légkondicionálás

275.1.4Beázás és elárasztás veszélyeztetettsége

275.1.5Tűzmegelőzés és tűzvédelem

285.1.6Adathordozók tárolása

285.1.7Hulladék megsemmisítése és selejtezés

285.1.8A mentési példányok fizikai elkülönítése

285.2Eljárásbeli óvintézkedések

285.2.1Bizalmi munkakörök

305.2.2Az egyes feladatokhoz szükséges személyzeti létszámok

315.2.3Az egyes munkakörökben elvárt azonosítás és hitelesítés

315.2.4Egymást kizáró munkakörök

315.3Személyzetre vonatkozó előírások

325.3.1Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények

335.3.2Előélet vizsgálatára és biztonsági háttér ellenőrzésekre vonatkozó eljárások

335.3.3Kiképzési követelmények

345.3.4Továbbképzési gyakoriságok és követelmények

345.3.5Munkabeosztás körforgásának gyakorisága és sorrendje

345.3.6A felhatalmazás nélküli tevékenységek büntető következményei

345.3.7A szerződéses alkalmazottakra vonatkozó követelmények

355.3.8A személyzet számára biztosított dokumentációk

365.4Naplózási eljárások

365.4.1A tárolt események típusai

365.4.2A napló állomány feldolgozásának gyakorisága

365.4.3A napló-állomány megőrzési időtartama

375.4.4A napló állomány védelme

375.4.5A napló állomány mentési folyamatai

375.4.6A napló gyűjtési rendszere

375.4.7Log-elemzés

375.5Adatok archiválása

385.5.1Az archivált adatok típusai

385.5.2Az archívum megőrzési időtartama

385.5.3Az archívum védelme

385.5.4Az archívum mentési folyamatai

385.5.5Archív információ hozzáférését és ellenőrzését végző eljárások

385.6Kompromittálódást és katasztrófát követő helyreállítás

385.6.1Váratlan esemény és kompromittálódás kezelési eljárások

395.6.2Meghibásodott számítási erőforrások, szoftverek és/vagy adatok

405.6.3Egy szolgáltatói egység kulcsának kompromitálódása

405.6.4Működés folyamatosságának biztosítása katasztrófát követően

405.6.5Egy szolgáltatói egység órájának 1 másodpercnél nagyobb eltérése az UTC időtől

405.7Incidenskezelés

415.8Változáskezelés

415.9Időszinkronizáció

425.10Időbélyeg szolgáltató vagy szervezet leállítása

436Műszaki biztonsági óvintézkedések

436.1Kulcspár előállítás és telepítés

436.1.1Kulcspár előállítás

436.1.2A szolgáltatói nyilvános kulcs közzététele

436.1.3Kulcs méretek

436.1.4A nyilvános kulcs paraméterek előállítása és ellenőrzése

446.1.5A kulcs használat célja (az X.509 v3 kulcs használati mező tartalmának megfelelően)

446.2A Szolgáltatói magánkulcsok védelme és a kriptográfiai modulokkal kapcsolatos előírások

446.2.1Kriptográfiai modulra vonatkozó szabványok

456.2.2A több-szereplős (“n-ből m”) magánkulcs visszaállítás ellenőrzése

456.2.3Magánkulcs mentése

456.2.4Magánkulcs archiválása

466.2.5Magánkulcs bejuttatása a kriptográfiai modulba

466.2.6Magánkulcs tárolása a kriptográfiai modulba

466.2.7A magánkulcs aktiválásának módja

466.2.8A magánkulcs aktív állapotának megszüntetési módja

466.2.9A magánkulcs megsemmisítésének módja

466.2.10A kriptográfiai modulok értékelése

476.3A kulcspár kezelésének egyéb szempontjai

476.3.1A tanúsítványok és a kulcspárok használatának periódusa

486.4Informatikai biztonsági óvintézkedések

486.4.1Speciális informatikai biztonsági műszaki követelmények

506.4.2Informatikai biztonsági minősítés

506.4.3A szolgáltatásban alkalmazott termékek kezelése

516.5Életciklusra vonatkozó műszaki óvintézkedések

516.5.1Rendszerfejlesztési óvintézkedések

516.5.2Biztonságkezelési óvintézkedések

516.5.3Az életciklusra vonatkozó biztonság osztályozása

516.5.4Behatolási tesztek

516.5.5Kapacitás figyelés és tervezés

526.5.6Kockázatelemzés

526.5.7Jogosultságkezelés

526.6Hálózatbiztonsági óvintézkedések

537Tanúsítvány profil

537.1Verzió szám(ok)

537.2Tanúsítvány-kiterjesztések

547.3Az algoritmus objektum-azonosítója

547.4Elnevezési formák

557.5Elnevezésre vonatkozó korlátozások

557.6Az Időbélyegzési Rend objektum-azonosítója

557.7A „Hitelesítési Rend korlátozás” kiterjesztés használata

557.8Szabályzatminősítő szintaxis és szemantika

557.9A kritikus Időbélyegzési Rend kiterjesztés feldolgozása

567.10Időbélyegző profil

578Megfelelőségi audit és egyéb ellenőrzések

578.1Az ellenőrzések körülményei és gyakorisága

578.2Az auditor és szükséges képesítése

588.3Az auditor és az auditált rendszer függetlensége

588.4Az auditálás által lefedett területek

588.5A hiányosságok kezelése

588.6Az eredmények közzététele

599Egyéb üzleti és jogi kérdések

599.1Díjak

599.2Anyagi felelősségvállalalás, felelősségbiztosítás.

599.3Az üzleti információk bizalmassága

609.4A személyes adatok védelme

609.4.1Bizalmasan kezelendő információ-típusok

619.4.2Nem bizalmasnak tekintett információ típusok

619.4.3Információszolgáltatás a hatóságok részére

619.4.4Információszolgáltatás polgári eljárás keretében

629.4.5A tulajdonos kérésére történő felfedés

629.5Szellemi tulajdonjogok

629.6Tevékenységért viselt felelősség és helytállás

629.6.1Az időbélyegzés szolgáltató felelőssége és helytállása

639.6.2Az előfizető felelőssége és helytállása

639.6.3Az érintett fél felelőssége

639.7Helytállás érvénytelenségi köre

639.8Felelősségi korlátozások

649.9Kártérítési kötelezettségek

649.10Érvényesség

649.11A felek közötti kommunikációra vonatkozó előírások

649.12Kiegészítések

649.13Vitás kérdések megoldása

659.14Irányadó jog

659.15Az érvényben lévő jogszabályoknak való megfelelőség

Bevezetés

1.1 Áttekintés

A Szabályzat

Ez a szabályzat a Magyar Telekom Nyrt. (ebben a dokumentumban: Szolgáltató) minősített időbélyegzés szolgáltatás tevékenységével kapcsolatos részletes eljárási és működési szabályokat tartalmazza.

A Szabályzat célja, hogy összefogja azokat a dokumentumokat és információkat, melyeket a Szolgáltatóval valamilyen módon kapcsolatba kerülő feleknek (elsősorban a végfelhasználóknak) a minősített időbélyegzés szolgáltatással kapcsolatosan tudni érdemes. A Szabályzat biztosítja a Szolgáltató működésének átláthatóságát, s lehetővé teszi annak megállapítását, hogy a Szolgáltató gyakorlata, illetve az időbélyegzés szolgáltatás keretében kiadott időbélyeg mennyiben felel meg a felhasználói és törvényes elvárásoknak. A Szabályzat segítségével az időbélyegzés szolgáltatás megrendelői és elfogadói egyértelműen megállapíthatják az időbélyeg kezelésének módját, a garantált biztonságot és a szolgáltatásra vonatkozó műszaki, üzleti, pénzügyi garanciákat és jogi felelősségvállalásokat.

A Szabályzatban meghatározott időbélyegzés szolgáltatást a jelen szabályzat, az ÁSZF ([11]), a vonatkozó Időbélyegzési Rend, valamint az előfizetővel megkötött szerződés ([13]) együttesen szabályozzák {ld. 1.7 Hivatkozások}. Amennyiben az Időbélyegzési Rend, az ÁSZF, valamint jelen szabályzat bármely vonatkozásban ellentmondással vagy eltérő kikötéssel élnének, akkor a vonatkozó Időbélyegzési Rend előírásai tekintendők irányadónak.

A Szabályzat hatályai

A Szabályzat tárgyi hatálya

A Szabályzat tárgyi hatálya az {1.1.4 Szolgáltatások} alfejezetben ismertetett szolgáltatások nyújtására és igénybevételére, illetve ezen szolgáltatásokkal kapcsolatos összes objektumra és tárgyi eszközre kiterjed.

A Szabályzat területi hatálya

A Szabályzat területi hatálya az Európai Únió teljes területe.

A Szabályzat időbeli hatálya

A Szabályzat határozatlan időre szól a címlapon feltüntetett jelen szabályzati verzióra érvényes hatálybalépés dátumától kezdődően. (A Szabályzat időbeli hatálya a szolgáltatás beszüntetésekor, illetve egy újabb szabályzati verzió hatályba lépésékor szűnik meg.)

A Szabályzat személyi hatálya

A Szabályzat személyi hatálya a teljes közösség {ld. 1.3 PKI szereplők} minden egyes tagjára, természetes, jogi személyiségű illetve jogi személyiséggel nem rendelkező személyekre (szervezetekre) egyaránt kiterjed.

A szolgáltató

A Szabályzatban Szolgáltató alatt a Magyar Telekom Nyrt. által – a saját szervezetén belül – létrehozott Magyar Telekom Időbélyegzés szolgáltatót (időbélyegző szervezetet) kell érteni. A Szolgáltatót jogi értelemben a Magyar Telekom Nyrt. képviseli.

A Minősített időbélyegzés-szolgáltató a bizalmi szolgáltatás nyújtását 2017. augusztus 25-én jelentette be a Nemzeti Média- és Hírközlési Hatóságnak.

A minősített bizalmi szolgáltatás megfelelőségértékelését a TÜV Informationstechnik GmbH (továbbiakban TÜViT) végezte a 910/2014/EU rendelet, a hatályos magyar jogszabályok (2015. évi CCXXII törvény, 24/2016. (VI.30.) BM rendelet), valamint a vonatkozó ETSI szabványok (ETSI EN 319 401 v2.1.1, ETSI EN 319 421 v1.1.1) alapján. A tanúsítvány sorszáma: 9761.17.

A sikeres vizsgálat alapján a Nemzeti Média- és Hírközlési Hatóság nyilvántartásba vette és a nemzeti bizalmi listában publikálta a bejegyzett minősített bizalmi szolgáltatást.

Szolgáltató megfelelőségének értékelését az 910/2014/EU rendelet, a hatályos magyar jogszabályok (2015. évi CCXXII törvény, 24/2016. (VI.30.) BM rendelet), valamint a vonatkozó ETSI szabványok (ETSI EN 319 401 v2.1.1, ETSI EN 319 421 v1.1.1) alapján 2018. november hónapban a Mátrix Kft. elvégezte, amelyről 2020. november 7-ig tartó érvényességgel „I-MT18T1_TAN.QTIMESTAMP” számon tanúsítványt bocsátott ki.

A magyar nemzeti bizalmi lista elérhetősége:

• humán olvasható PDF formátumban: http://www.nmhh.hu/tl/pub/HU_TL.pdf

• géppel feldolgozható XML formátumban: http://www.nmhh.hu/tl/pub/HU_TL.xml

A Nemzeti Média- és Hírközlési Hatóság bizalmi szolgáltatásokkal kapcsolatos nyilvántartása az alábbi elérhetőségen található:

http://webpub-ext.nmhh.hu/esign2016/

A Szolgáltató (Magyar Telekom Nyrt.) adatai a következők:

Név:Magyar Telekom Távközlési Nyilvánosan Működő Részvénytársaság

Cégjegyzékszám:CG 01-10041928

Székhely:1097 Budapest, Könyves Kálmán körút 36.

Postacím:1541 Budapest

Telefon:+36-1-458 7346

Fax:+36-1-458 7335

Honlap:http://www.telekom.hu/

A Szolgáltató alvállalkozók bevonásával végzi az alábbi tevékenységeket:

· Létesítményüzemeltetés, áramellátás

· Fizikai és elektronikai védelmi berendezések időszakos felülvizsgálata, karbantartása és javítása

· Egyes alkalmazások, eszközök új verzióinak tesztelése

· Üzemszerű rendszerelem cserék előkészítése, implementációs, és tesztelési tervek elkészítése,

· Üzemeltetés támogatás, konfigurációs és hardening feladatok szakértői előkészítése

· Sebezhetőség vizsgálatok

Az alvállalkozók tevékenységéért a Szolgáltató teljes felelősséggel tartozik.

Szolgáltatások

A Magyar Telekom Nyrt. tevékenységi köre – egyebek mellett – kiterjed az időbélyegzés szolgáltatásra és az ehhez kötődő fejlesztési és tanácsadási tevékenységekre.

Az időbélyegzés-szolgáltatás során a Szolgáltató az elektronikus dokumentumhoz időbélyegzőt kapcsol.

Az időbélyegzés-szolgáltatás bizonyítékot nyújt arról, hogy egy adatelem változatan formában létezett egy megadott időpontban (a létezés bizonyítéka). Ha az adatelemet az adatkérő azelőtt aláírta, mielőtt továbbította volna az időbélyegzés-szolgáltató számára, akkor az időbélyegzés-szolgáltatás bizonyítékul szolgál arra nézve, hogy az adott adatelem létezett és ezen entitás birtokában volt abban a bizonyos időpontban (a birtoklás bizonyítéka). Az időbélyegzés-szolgáltató, mint harmadik fél megbízhatóan gondoskodik az időbélyegzés-szolgáltatásról.

A Szolgáltató által nyújtott időbélyegzés-szolgáltatás hozzákapcsolható aláírással ellátott elektronikus dokumentumhoz, továbbá aláírással nem ellátott állományok esetében is használható.

A Magyar Telekom a minősített Időbélyegzés szolgáltatást az [1],[2],[3] jogszabályok és a vonatkozó (a „Hivatkozások”-ban feltüntetett) szabványok előírásai szerint végzi. A jogszabályoknak és szabványoknak történő megfelelést akkreditált tanúsító szervezet megfelelőség-értékelés útján tanúsítja, valamint a Bizalmi felügyelet (a Nemzeti Média-és Hírközlési Hatóság) felügyeli.

Szabványok és előírások

A Szabályzat tartalmi vonatkozásokban eleget tesz az [1], [2], [3] és [4] szerinti EU és hazai jogszabályok előírásainak, kapcsolódó rendeleteinek és ajánlásainak. {ld. 1.7 Hivatkozások}.

Jelen szabályzathoz kapcsolódó időbélyeg felhasználásának joghatásairól a minősített időbélyegzés szolgáltatásra vonatkozó Általános Szerződési Feltételek (ÁSzF) című dokumentum előírásai is rendelkeznek, amely megtalálható a Szolgáltató honlapján a http://www.t-systems.hu/nagyvallalatok/hitelesites_szolgaltatasok/idobelyegzes_szolgaltatas .

Időbélyegzés-szolgáltatás

Az eIDAS Rendelet alapján az „elektronikus időbélyegző”: olyan elektronikus adatok, amelyek más elektronikus adatokat egy adott időponthoz kötnek, amivel igazolják, hogy utóbbi adatok léteztek az adott időpontbanAz időbélyegzés szolgáltatás keretében Szolgáltató az elektronikusan aláírt elektronikus dokumentumhoz időbélyegzőt kapcsol.

Az időbélyegzés-szolgáltatás bizonyítékot nyújt arról, hogy egy adatelem változatlan formában létezett egy megadott időpontban (a létezés bizonyítéka). Ha az adatelemet az adatkérő azelőtt aláírta, mielőtt továbbította volna az időbélyegzés-szolgáltató számára, akkor az időbélyegzés-szolgáltatás bizonyítékul szolgál arra nézve, hogy az adott adatelem létezett és ezen entitás birtokában volt abban a bizonyos időpontban (a birtoklás bizonyítéka). Az időbélyegzés-szolgáltató, mint harmadik fél megbízhatóan gondoskodik az időbélyegzés-szolgáltatásról.

A szolgáltatáshoz kétféle tevékenység köthető:

maga az időbélyegzés-szolgáltatás, amelyet a Szolgáltató minősített időbélyegzés-szolgáltatásként (előfizetéses alapon) nyújt ügyfeleinek.

a szolgáltatást biztosító menedzsment folyamatok - időjel ellátás

Az időbélyegek használata során kétféle alapműveletet kell elvégezni:

időbélyegzést (folyamatot), amely az adatokat időértékekkel kapcsolja össze kriptográfiai eszközök segítségével és

időbélyeg-ellenőrzést (folyamatot), amely kiértékeli ezeknek az összekötéseknek a megfelelőségét.

Az időbélyegzés-szolgáltatás során a Szolgáltató (bizonyíthatóan) nem ismeri meg az időbélyegzett dokumentum tartalmát, és csak az abból képzett lenyomatot kezeli.

A Szolgáltató két hozzáférési módot ajánl az időbélyegzés-szolgáltatáshoz:

az első általában egyedi – dedikált – hozzáférés, melyen jellemzően a nagy forgalmú ügyfelek részére szolgáltat,

a második az Internet alapú hozzáférés, mellyel a lehető legszélesebb felhasználói körre kiterjeszthető a szolgáltatás.

A Szolgáltató időbélyegző infrastruktúrája pontosság és biztonság tekintetében megfelel a 24/2016. (VI.30.) BM rendelet, valamint az ETSI EN 319 421és az ETSI EN 319 422 szabvány erre vonatkozó előírásainak.

1.2 A dokumentum neve és azonosítója

Jelen szabályzat neve: A Magyar Telekom Minősített Időbélyegzés-szolgáltatás Szolgáltatási Szabályzata.

A szabályzat rövid neve: Magyar Telekom IBSzSz, vagy egyszerűen csak IBSzSz, (ebben a dokumentumban még Szabályzat).

A Szabályzat az alábbi adatokkal azonosítható:

Egyedi objektum-azonosító (OID):a Szabályzat fedőlapján található

Verziószám:a Szabályzat fedőlapján található

A hatályba lépés dátuma:a Szabályzat fedőlapján található

A Szabályzat hivatalos és aktuális verzióját a Szolgáltató elektronikus bélyegzővel látta el, megtalálható és letölthető a Szolgáltató internetes honlapjának következő oldalról:

http://www.t-systems.hu/nagyvallalatok/hitelesites_szolgaltatasok/idobelyegzes_szolgaltatas

1.3 PKI szereplők

A Szolgáltató jelen szabályzatban tárgyalt szolgáltatásaihoz tartozó közösség (a továbbiakban: Közösség) az alábbiakból áll.

Időbélyegző szervezet

A Szolgáltató – a saját szervezetén belül, a Csoport biztonsági igazgatóság keretében – időbélyegző szervezetet működtet (Időbélyegző Szervezet), melynek feladata a szolgáltatásokhoz kapcsolódó rendszerek üzemeltetése, az időbélyegzés szolgáltatások nyújtása.

A Szervezet a timestamp@telekom.hu elektronikus levélcímen érhető el.

Az Időbélyegző Szervezet feladatai az alábbiak:

A minősített időbélyegző rendszer üzemeltetése,

A Magyar Telekom Gyökér hitelesítő működtetése,

Szolgáltatói tanúsítványok és visszavonási listák közzététele,

ügyfélszolgálati teendők: a felhasználókkal való kapcsolattartás és további menedzsment feladatok ellátása.

Az Időbélyegző Szervezet a feladatait a Szabályzat előírásainak megfelelően végzi. Az aktuális ügyek kezelését interneten és telefonon keresztül, illetve (az ügyfélszolgálaton) személyes közreműködéssel látja el.

A Minősített Időbélyegző Szervezet elérési adatai a következők:

Név:Magyar Telekom Nyrt./ Minősített Időbélyegző Szervezet

Cím:1097 Budapest, Könyves Kálmán körút 36.

Telefon:+36-1- 481-8401

Fax:+36-1- 481-8405

Postacím:1541 Budapest

Honlap:http://www.t-systems.hu/nagyvallalatok/hitelesites_szolgaltatasok/idobelyegzes_szolgaltatas

E-levélcím:timestamp@telekom.hu

Az Időbélyegző Szervezet munkanapokon 8 és 16 óra között tart nyitva, de egyes napokon ettől eltérő nyitvatartási időpont is lehetséges. Hibabejelentéssel, valamint időbélyegzés kérésre jogosító athentikációs tanúsítvány visszavonási szolgáltaással kapcsolatos szolgáltatás a fenti munkaidőn túl elérhető az alábbi telefon, ill. faxszámon:

24 órás ügyelet telefonszáma: +36-30-444-17-31

Az Időbélyegző Szervezet aktuális adatai a Szolgáltató fenti internetes honlapján megtekinthetők.

Előfizetők, érintett felek

A Szolgáltató által nyújtott szolgáltatások végfelhasználói az alábbiak lehetnek:

· előfizető, aki az időbélyegzés-szolgáltatást Szolgáltatóval kötött szerződés alapján igénybe veszi,

· az érintett fél.

Az előfizető olyan tetszőleges természetes vagy jogi személy, vagy jogi személyiséggel nem rendelkező szervezet lehet, aki/amely elfogadja a Szolgáltató szabályzataiban meghatározott kötelezettségeket, és aki (eltérő megállapodás hiányában) fizet a szolgáltatásért.

Az előfizető szerződéses viszonyban áll a Szolgáltatóval a vonatkozó Időbélyegzés Szolgáltatói Szerződésben (továbbiakban: ISzSz) [12], jelen IBSzSz, Magyar Telekom Időbélyegzés-szolgáltatás Általános Szerződési Feltételek (továbbiakban: ÁSZF) [11] és a TSP [13] dokumentumokban foglaltak szerint. A Szolgáltató az előfizetővel elsősorban az Időbélyegző Szervezeten keresztül tart kapcsolatot. Előfizető az időbélyegzés-szolgáltatást kizárólag a TSP-ben és ISzSz-ben meghatározott módon és célra veheti igénybe.

Az érintett fél természetes vagy jogi személy, vagy jogi személyiséggel nem rendelkező szervezet lehet, a Közösség olyan tagja, aki az elektronikus dokumentum fogadója és egy hitelesített időpontra hagyatkozva jár el az aláírás és/vagy az időbélyeg hitelességének ellenőrzésekor.

A Szolgáltató szabályzatai semmilyen formában sem korlátozzák az érintett felek körét.

Egyéb szereplők

Egyéb szereplőként meg kell említeni:

· Magyar Telekom NyRt. / Technológia / Platform fejlesztési és üzemeltetési ágazat, ISP csoport ot, mint az időjel ellátó rendszer üzemeltetőjét, aki ezt a tevékenységét az Időbélyegző Szervezet részére végzi

· A Szabályzat szerinti szolgáltatással kapcsolatban illetékes fogyasztóvédelmi felügyelőséget, melynek adatai a következők:

Budapest Főváros Kormányhivatal

Fogyasztóvédelmi Főosztály, Fogyasztóvédelmi Osztály

székhely/levelezési cím: 1052 Budapest, Sas u. 19.

tel: (06 1) 450 2598

e-mail cím: fogyved_kmf_budapest@bfkh.gov.hu

· A Szabályzat szerinti szolgáltatással kapcsolatban vitás esetek, jogviták rendezésére igénybevehető békéltető testület, melynek adatai a következők:

Budapesti Békéltető Testület

1016 Budapest, Krisztina krt. 99. III. em. 310

1253 Budapest, Pf. 10.

tel.: +361 488 2131

E-mail: bekelteto.testulet@bkik.hu

1.4 A Szolgáltatási Szabályzat adminisztrálása

Adminisztrációért felelős szervezet és kapcsolattartó személy

A Szolgáltató – szervezetén belül – olyan szervezeti egységet működtet, amely az időbélyegzéssel kapcsolatos szolgáltatásokhoz elengedhetetlen szabályozási feladatokat látja el, beleértve elsősorban a jelen szabályzat valamint az egyéb nyílvános szabályzatok (ÁSZF, Időbélyegzési Rend) el(ő)készít(tet)ésével, egyeztetésével, kiegészítésével, aktualizálásával, jóváhagyatásával és megjelentetésével kapcsolatos összes feladatot.

A szabályozási szervezet adatai, és azon belül a fenti tevékenységgel megbízott szolgáltatási menedzser elérési adatai a következők:

Név:Magyar Telekom Nyrt. / Technológiai biztonsági központ

Cím:

1097 Budapest, Könyves Kálmán körút 36..

Telefon:+36 1 481-8401

Mobil:+36 30 444 1731

e-Mail: timestamp@telekom.hu

Fax:+36 1 481-8405

Postacím:1541 Budapest

A szabályzatokra vonatkozóan a Bizalmi Felügyelettel történő hivatalos kapcsolattartás a Magyar Telekom Csoport szabályozási igazgatóság feladata.

A Szolgáltatási Szabályzat elfogadási eljárása

A szabályozási tevékenységgel megbízott szolgáltatási menedzser összegyűjti a Szabályzatra (vagy az egyéb nyílvános szabályzatra) vonatkozó észrevételeket illetve változtatási igényeket, majd elkészít(tet)i a módosított szabályzattervezetet. Az így előállított szabályozás változat feladásra kerül a Magyar Telekom Szabályozási környezet véleményezési, jóváhagyási workflow-ba. A szabályozási workflow különböző pontján tett észrevételekkel kiegészített szabályozás változat ismét jóváhagyási workflow-ba kerül, ahol jóváhagyás esetén hatályba lép és a szabályozási környezet részévé válik. Ezt követően a szolgáltatási menedzser eleget tesz a belső és külső (Bizalmi Felügyelet és ügyfelek) tájékoztatási kötelezettségeknek, az 1.4.3 fejezet szerint.

A szabályzatok elrendelése és életbe léptetése a Szolgáltató vezetőinek jóváhagyásával, az erre vonatkozó belső utasítás alapján történik.

Jelen szolgáltatási szabályzat Időbélyegzési Rendnek való megfelelőségét közzététel előtt Szolgáltató megvizsgálta. A vizsgálatot külső független szakértő is elvégzi évente rendszeresen végzett auditja során.

Ezen felül a Szabályzat megfelelőségét a vonatkozó törvények, jogszabályok, valamint szakmai előírások tekikntetében a Bizalmi Felügyelet is megvizsgálja a szabályzat nyílvántartásba vételét (illetve hatályba lépését) megelőzően.

Szabályzat -változtatási eljárások

Egy időszak alatt összegyűlt változási igényeket Szolgáltató kötegelve szerkeszti új szabályzati változattá, törekedve arra, hogy új szabályzatot csak a lehető legritkábban kelljen kibocsátania.

Értesítés nélkül, illetve értesítéssel változtatható elemek

A szabályzatok bármely részének (elemének) módosítása esetén az erről szóló értesítés és tájékoztatás a következő alfejezet szerint történik. Nincsenek olyan elemek, melyeket Szolgáltató értesítés nélkül változtatna meg jelen szabályzatában (illetve nyílvános szabályzataiban).

Szabályzati objektum-azonosítót vagy -mutatót változtató módosítások

Jelen szabályzat és az időbélyegzés szolgáltatással kapcsolatos egyéb nyílvános szabályzatok módosított változatai mindig új verziószámmal kerülnek nyilvánosságra. A szabályzatok módosítása a szabályzatok objektum-azonosítóját is módosítja.

A verziószám egy tizedes értékkel növekszik (pl. 1.6-ot követi az 1.7-es), az objektum-azonosítónak pedig az utolsó számjegye növekszik egy értékkel. (pl. 1.3.6.1.4.1.17835.7.1.2.8.2.1.13.3.4 –et követi az 1.3.6.1.4.1.17835.7.1.2.8.2.1.13.3.5).

Közzétételi és tájékoztatási elvek

A szabályzat közzététele és nyílvántartásba vétele

Szolgáltató nyílvános szabályzatainak a változásokkal egybeszerkesztett új verzióját, annak hatályba lépését megelőzően 30 nappal benyújtja azt a Hatóság részére, nyílvántartásba vétel céljából.

Amennyiben nem érkezik észrevétel, a szabályzatot Szolgáltató, mint hatályos dokumentumot helyezi el nyilvános internetes honlapján, ezzel egyidejűleg a korábbi változatot elhelyezi a „hatályát vesztett szabályzatok” közé.

A szabályzatban nem tárgyalt elemek

A Szolgáltató nyilvános szabályzataiban csak azon eljárásait hozza nyilvánosságra, melyek ismerete a szolgáltatás biztonságát nem veszélyezteti. Szolgáltató több belső biztonsági és egyéb szabályzattal, operatív szintű előírással rendelkezik, melyeket bizalmasan kezel (jelen szolgáltatási szabályzat több ilyet is megemlít). A 8. fejezetben leírt tanúsítási eljárások ezeket a dokumentumokat is vizsgálják.

1.5 Meghatározások

A Szolgáltató a dokumentumban szereplő fogalmakat az alábbi értelemben használja:

Fogalom

Meghatározás (magyarázat)

aktivizáló adatok

a kriptográfiai modul működtetéséhez szükséges adatok, melyeket védeni kell (pl. PIN kód, jelmondat vagy manuálisan birtokolt kulcs-részlet)

elektronikus dokumentum

elektronikus eszköz útján értelmezhető adategyüttes

előfizető

Időbélyegzés esetén maga az igénybevevő.

érintett fél

az elektronikus dokumentum fogadója, aki egy adott időbélyegzőrehagyatkozva jár el

fogadó fél (elfogadó fél)

az elektronikus dokumentum fogadója, aki egy adott időbélyegzőrehagyatkozva jár el

Időbélyegzés szolgáltatási szabályzat

A 2015. évi CCXXII. törvény 1§ bekezdése szerint a bizalmi szolgáltató nyilatkozata az egyes bizalmi szolgáltatások nyújtásával kapcsolatosan alkalmazott részletes eljárási vagy más működési követelményekről

időbélyeg (időbélyegző)

elektronikus dokumentumhoz végérvényesen hozzárendelt, vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett

időbélyegzés-szolgáltató

olyan bizalmi szolgáltató, amely az időbélyegzés szolgáltatást végzi

kriptográfiai kulcs

olyan kriptográfiai transzformációt vezérlő egyedi jelsorozat, amelynek ismerete a kriptográfiai transzformáció elvégzéséhez, különösen az elektronikus aláírás előállításához vagy ellenőrzéséhez szükséges

tanúsítvány

Időbélyegzés szolgáltatás esetén az időbélyegzők szolgáltatói tanúsítv ányai.

tanúsítvány visszavonási állapot közzététele

Időbélyegzés szolgáltatás esetén információ nyújtása az elfogadó fél számára az időbélyegző tanúsítványok visszavonásáról. A szolgáltatás lehet valós idejű, vagy az információk előre meghatározott időközönkénti aktualizálásán kell alapulnia.

tanúsítvány visszavonási lista

Időbélyegzés szolgáltatás esetén valamely okból visszavont, azaz érvénytelenített időbélyegző tanúsítványok azonosítóit tartalmazó elektronikus lista, melyet a szolgáltató bocsát ki

Visszavonási nyilvántartások (tanúsítvány visszavonási nyilvántartás)

Időbélyegzés szolgáltatás esetén nyilvántartások a felfüggesztett, illetőleg a visszavont időbélyegző tanúsítványokról, amelyek tartalmazzák legalább a felfüggesztés vagy visszavonás tényét, és a felfüggesztés vagy visszavonás időpontját

időbélyegzési rend

olyan szabálygyűjtemény, amelyben egy szolgáltató, igénybe vevő vagy más személy (szervezet) valamely időbélyegző felhasználásának feltételeit írja elő igénybe vevők valamely közös biztonsági követelményekkel rendelkező csoportja, illetőleg meghatározott alkalmazások számára

végfelhasználó

az előfizető, az elfogadó fél, valamint az érintett fél

1.6 Rövidítések és jelölések.

A dokumentumban az alábbi jelölések és rövidítések szerepelnek:

· [ ] jelek között a dokumentumokra történő hivatkozások számai szerepelnek,

· { } jelek között egy dokumentum adott fejezetére / alfejezetére történő hivatkozások szerepelnek.

1.7 Hivatkozások

A Szolgáltató a jelen dokumentumban az alábbi dokumentumokra hivatkozik:

[1]910/2014 EU rendelet (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról

[2]2015. évi CCXXII törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

[3]24/2016. (VI.30) BM rendelet a bizalmi szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről

[4]A Nemzeti Média- és Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos szolgáltatások nyújtása során felhasználható biztonságos kriptográfiai algoritmusok és paramétereik meghatározása tárgyában hozott EF-26838-9/2011 számú határozata.

[5]ISO 3166

[6]FIPS PUB 140-2 (1994. január 11.): "Kriptográfiai modulok biztonsági követelményei"

[7]International Telecommunication Union X.509 “Információ technológia – Nyílt rendszerek kapcsolódása - Könyvtár: Nyilvános kulcs és attribútum tanúsítvány keretrendszer”

[8]RFC 5280 (Internet X.509 Nyilvános kulcsú infrastruktúra – tanúsítvány és tanúsítvány visszavonási lista profil)

[9]RFC 3161 (Internet X.509 Nyilvános kulcsú infrastruktúra – Time-Stamp Protocol)

[10]ETSI EN 319 421 EU szabvány: Policy and Security Requirements forTrust Service Providers issuing Time-Stamps

[11]Minősített Időbélyegzés szolgáltatások - Általános Szerződési Feltételek (ÁSzF)--- Magyar Telekom Nyrt.

[12]Magyar Telekom Minősített Időbélyegzés szolgáltatás Szolgáltatói Szerződése – röviden Szolgáltatói Szerződés (ISzSz)

[13]Magyar Telekom Minősített Időbélyegzés-szolgáltatás Időbélyegzési Rendje – röviden (TSP)

[14]ETSI EN 319 422 EU szabvány: Time-stamping protocol and time-stamp token profiles

[15]ETSI EN 319 401 EU szabvány: General Policy Requirements for Trust Service Providers

[16]RFC6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP

Közzétételre és tárolásra vonatkozó felelősségek

A Szolgáltató a szolgáltatói tanúsítványokat –Gyökér hitelesítő és időbélyegző tanúsítványok- valamint a Gyökér hitelesítő visszavonási listáját nyilvánosan elérhető weblapján teszi elérhetővé. (http://www.t-systems.hu/nagyvallalatok/hitelesites_szolgaltatasok/idobelyegzes_szolgaltatas )

1.8 Adatbázisok

Adatbázisok alatt a Szolgáltató honlapján közzétett adatokat értjük. Itt a szolgáltatásokra vonatkozó kikötéseket, feltételeket, szabályzatokat; valamint a rendkívüli információkat is közzéteszik. A Szolgáltató weboldala HTTP lekérdezésekkel érhető el.

A weboldal elérhetőségét a Szolgáltató folyamatosan (az év minden napján, 0-24 óra között) biztosítja, a karbantartáshoz szükséges idők kivételével. A Szolgáltató a tervezett karbantartásokat munkaidőn kívüli időszakokra ütemezi, és ezekről a karbantartás megelőzően 24 órával értesítést tesz közzé a honlapján.

1.9 Az időbélyegzőkre vonatkozó információk közzététele

Kikötések és feltételek közzététele

A Szolgáltató szerződéses feltételeit és szabályzatait – és ezek részeként az időbélyegzésre vonatkozó információkat - elektronikus formában (MS-Word és/vagy Adobe Acrobat formátumokban) hozza nyilvánosságra az internetes honlapjának oldalain.

Elérhetőség: http://www.t-systems.hu/nagyvallalatok/hitelesites_szolgaltatasok/idobelyegzes_szolgaltatas

A dokumentumok korábban érvényben lévő változatai is megtalálhatóak itt az aktuális verziók mellett. A dokumentumok nyomtatott változatai semmilyen formában sem tekinthetők hivatalos példánynak vagy hiteles másolatnak.

Rendkívüli információk közzététele

A Szolgáltató a következő eseményekről hirdetést jelentethet meg egy országos terjesztésű napilapban:

· új szolgáltatás beindítása,

· valamely szolgáltatás tervezett beszüntetése vagy tartós (24 órát meghaladó) szüneteltetése,

· tevékenységének befejezése, ld. még 5.10 fejezetet.

Tanúsítványok nyilvánosságra hozatala

A Szolgáltató az általa működtetett időbélyegző egységek tanúsítványait a következő módszerekkel teszi közzé:

· Az időbélyegzőt aláíró kulcsok tanúsítványát és a rá vonatkozó – Magyar Telekom Gyökér Hitelesítő által kiadott - tanúsítvány visszavonási listát a honlapján keresztül teszi közzé.

A tanúsítványok visszavonásának és felfüggesztésének nyilvánosságra hozatala

A Szolgáltató az általa működtetett Időbélyegző egységek tanúsítványaival kapcsolatos állapot-információkat a következő módszerel teszi közzé:

· Az Időbélyegző egységek tanúsítványainak állapotváltozását a Szolgáltató weboldalán hozza nyilvánosságra.

1.10 A közzététel gyakorisága

Kikötések és feltételek közzétételi gyakorisága

A Szabályzattal kapcsolatos új verziók közzététele az 1.4.3 alfejezetben ismertetett eljárásoknak megfelelően történik.

A Szolgáltató szükség szerinti gyakorisággal bocsátja ki az egyéb szabályzatait és szerződéses feltételeit, illetve az újabb változatokat.

Rendkívüli információk közzétételi gyakorisága

A Szolgáltató a rendkívüli információkat közzéteszi a jogszabályi előírásoknak megfelelően, illetve ennek hiányában akkor, amikor arra szükség van.

1.11 Az adatbázisok elérésének szabályozása

A Szolgáltató által közzétett kikötések és feltételek, a rendkívüli események, az időbélyegző egység tanúsítványok és állapot információk nyilvános információk. Olvasás illetve lekérdezés céljából bárki korlátozás nélkül elérheti ezeket az információkat, a közzététel sajátosságainak megfelelően, Interneten keresztül.

A Szolgáltató által közölt információkat kizárólag csak a Szolgáltató egészítheti ki, törölheti vagy módosíthatja. A Szolgáltató különböző védelmi mechanizmusokat működtet az információk jogosulatlan módosításának megakadályozására.

Azonosítás és hitelesítés

3.1 Megnevezési konvenciók

Márkanevek elismerése, azonosításuk és szerepük

A Szolgáltató a szolgáltatása során bejegyzett védjegyet nem alkalmaz.

Működésre vonatkozó követelmények – időbélyegzés

A Szolgáltató minősített időbélyegzés szolgáltatást jelen szabályzat előírásai alapján nyújt.

1.12 Időbélyegzés szolgáltatás igénylése

Időbélyegzés szolgáltatásra vonatkozó igényt benyújthat, aki a Szolgáltató honlapján közzétett Általános Szerződési Feltételeket és jelen Szolgáltatási Szabályzatot megismeri és elfogadja, valamint az ott megjelentetett Megrendelő lapot kitölti és eljuttatja az Időbélyegzés Szolgáltatás ügyfélszolgálat címére.

Amennyiben az igényelő kéri, a szolgáltatás nyilvános dokumentumainak helyszíni tanulmányozására is lehetősége van, valamint szóban történő tájékoztatást is kaphat a szolgáltatással kapcsolatban.

Az Időbélyegzés Szolgáltatási Szerződés és Megrendelőlap valamint a Szolgáltató szabályzatai és termékismertetői megtalálhatók a Szolgáltató honlapján is, így előzetesen is áttekinthetők és kitölthetők.

A szolgáltatási szerződés ezt követő aláírásával születik meg szolgáltató és igénylő között az előfizetői szerződés, az Általános Szerződési Feltételek (ÁSzF) rendelkezéseinek megfelelően.

Az igénylő aláírásával egyúttal nyilatkozik arról is, hogy Szolgáltató feltételei és kikötései, saját kötelezettségei vonatkozásában tájékoztatást kapott, azokat elfogadja.

Az Időbélyegzés Szolgáltatási Szerződés és Megrendelőlap tartalma ezt követően Szolgáltató nyilvántartásába kerül mind elektronikus, mind papír formában.

Minősített időbélyeg-szolgáltatást természetes személy, vagy szervezet egyaránt igényelhet, személyesen a Szolgáltató székhelyén (Ld:1.3.1), telefonon, e-mail-ben, levélben.

Az igénybevételre két módon kerülhet sor:

· a Szolgáltatóval történő eseti megállapodás, vagy

· a Szolgáltató által nyújtott ajánlatok, csomagok elfogadott megrendelése keretében.

Az igénylés Szolgáltatóhoz való beérkezésétől számított 15 napon belül a Szolgáltató felveszi a kapcsolatot az igénylővel, s az ajánlatot elfogadja, az igénylőt felszólítja hiánypótlásra, pontosításra, vagy a Szolgáltató döntése szerint az ajánlatot visszautasítja, amennyiben az Igénylő a hiánypótlási, pontosítási felszólításnak 15 napon belül nem tesz eleget, a Szolgáltatóval szemben a Szolgáltatás korábbi igénybevételéből eredően díjtartozása van, vagy amennyiben a szolgáltatás nyújtásával más ügyfelek kiszolgálása veszélybe kerül.

1.13 Az időbélyegzés szolgáltatás teljesítése

Szolgáltató az RFC 3161 szabványon alapuló időbélyeg kérelmeket fogad és időbélyeg válaszokat ad. Az időbélyeg kérelmek előállításához, illetve az időbélyeg válaszok fogadásához, ellenőrzéséhez szükséges programokkal, program modulokkal, infrastruktúrával a Felhasználónak kell rendelkeznie.

A Szolgáltató a 24/2016. (VI.30) BM rendelet 45.§ (1) alapján biztosítja az időbélyegzés szolgáltatás folyamatos rendelkezésre állását – éves szinten 99,5% rendelkezésre állást vállal. Az időbélyegzés szolgáltatás eseti szolgáltatás kiesése nem haladhatja meg a 3 óra időtartamot.

A Szolgáltató időbélyegzés-szolgáltatás nyújtása során biztosítja, hogy az időbélyeg válasz – az időbélyegzéssel összefüggésben hozzáadottaktól eltekintve – ugyanazokat az adatokat tartalmazza, amelyeket a kérelem tartalmazott. Az időbélyegzés szolgáltatás során a Szolgáltató - a technológia jellegéből adódóan - nem ismeri meg az időbélyeggel ellátott dokumentum tartalmát, csak az abból képzett lenyomatot.

Felhasználó vállalja a szolgáltatási díjak megfizetését, valamint elfogadja, hogy a szolgáltatás díjának megfizetését nem tagadhatja meg arra való hivatkozással, hogy érdekkörébe tartozó területen és eszközökön keresztül jogosulatlan személy vette igénybe a jelen szerződés tárgyát képező szolgáltatást.

1.14 Minősített Időbélyegzés-szolgáltatás joghatása

Az [1] EU rendelet alapján, „Az elektronikus időbélyegző joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus időbélyegzőkre vonatkozó követelményeknek. A minősített elektronikus időbélyegző esetében vélelmezni kell az általa feltüntetett dátum és időpont pontosságát, valamint az adott dátumhoz és időponthoz kapcsolt adatok sértetlenségét.”.

1.15 Az időbélyegzés szolgáltatás igénybevételének vége

Amennyiben a szolgáltatásra vonatkozó szerződést Előfizető fel kívánja mondani a szerződés lejárata előtt, ezt írásban vagy faxon kell bejelenteni az Időbélyegző Szervezet részére.

Elhelyezési, irányítási és működtetési előírások

Szolgáltató gondoskodik arról, hogy kellő, az elismert szabványoknak megfelelő fizikai, eljárásbeli és személyzeti biztonsági óvintézkedések, valamint az ezeket érvényre juttató adminisztratív és irányítási eljárások kerüljenek alkalmazásra.

1.16 Fizikai előírások

Szolgáltató gondoskodik arról, hogy a kritikus szolgáltatásokhoz történő fizikai hozzáférés ellenőrzött legyen, és a kritikus szolgáltatások nyújtásához szükséges eszközök használatából eredő kockázatot minimalizálják.

A fizikai óvintézkedések célja a Szolgáltató információira és fizikai körleteire irányuló jogosulatlan hozzáférés, károkozás és illetéktelen behatolás megakadályozása.

A biztosított védelem arányban áll a Szolgáltató által végzett kockázat elemzésben megállapított kockázatokkal.

A leginkább veszélyeztetett szolgáltatásokat az Időbélyegző Szervezet védett számítógép termeiben valósítják meg. Ezek a számítógép termek speciálisan erre a célra lettek tervezve és kialakítva, és tervezésénél több különböző védelmi szempont (a telephely elhelyezése és szerkezeti felépítése, a fizikai hozzáférés /beléptetés ellenőrzése és felügyelete/, áramellátás, légkondicionálás, beázás és elárasztódás elleni védekezés, tűzmegelőzés és tűzvédelem, adathordozók tárolása, stb.) érvényesítésére is sor került.

Az Időbélyegző Szervezet valamennyi kritikus szolgáltatását biztonsági körletben valósítja meg, és az ehhez szükséges valamennyi eszközt a biztonsági körletek részét képező védett számítógép termekben helyezte el. A termek túlmelegedés elleni védelmére kialakításra kerül helyiségenként elektromos hőérzékelő berendezés mely a kritikus hőmérséklet elérése előtt riasztási jelzést továbbít a létesítmény épület-felügyeleti rendszeréhez. A helyiségekben gyengeáramú szükség-megvilágítás került telepítésre mely egyben a menekülési útvonalat is jelöli. A padló burkolata csúszásmentes, antisztatikus és terhelő nyomásnak ellenálló.

Az Időbélyegző Szervezet számítógép terme önálló biztonsági körletnek minősül. Ezen belül valósulnak meg a kritikus szolgáltatások, és itt került elhelyezésre az ezekhez szükséges valamennyi eszköz.

A telephely elhelyezése és szerkezeti felépítése

Az Időbélyegző Szervezet védett számítógép terme a befogadó épület területén elkülönítetten került kialakításra. Az elkülönített biztonsági körlet három egymásba nyíló, összesen egy bejárattal rendelkező ablaktalan helyiségből áll, melyben elhelyezésre kerültek a számítógépszerverek és az üzemeltetésükhöz szükséges teljes infrastruktúra.

Fizikai hozzáférés

Az Időbélyegző Szervezet védett számítógép terme úgy lett kialakítva, hogy illetéktelen személyek egyáltalán ne juthassanak be, a biztonsági őrség viszont rövid idő alatt meg tudja közelíteni riasztás esetén. A biztonsági körletnek nincs ablaka, a bejárati ajtón kívül csak falbontással lehet behatolni ide. A biztonsági körlet integráltan megvalósított behatolás jelző (riasztó) és beléptető (ujjlenyomat azonosító) rendszerrel van ellátva. A biztonság növelése érdekében egy falbontás érzékelő riasztó rendszer került telepítésre és beüzemelésre.

A védett számítógép termekbe az ott dolgozó bizalmi munkakört betöltő munkatársakon kívül más személyek (pl. karbantartók, takarítók) csak külön felhatalmazással és kísérettel léphetnek be.

A védett számítógép termekbe történő belépések minden esetben naplózásra kerülnek.

Áramellátás, légkondicionálás

Áramellátás

Az Időbélyegző Szervezet védett számítógép termeinek zavartalan áramellátása kiemelten fontos a folyamatos üzemeltetés biztosítása érdekében. A helyiségek betáplálására 3x60 amper tápellátás áll rendelkezésre, fáziselosztással, bemeneti zavarszűrűvel és érintésvédelemmel.

A következő védelmi megoldások együttese biztosított:

· szünetmentes központi energia ellátás (épület szünetmentes egység)

· szünetmentes energia ellátás a rack szekrénybe szerelt UPS-egységek által,

· villamos zavar, villám és túlfeszültség védelem,

Az alkalmazott üzemmód pedig az alábbi:

· az üzemi táp kimaradása vagy csökkenése esetén a rendszer átkapcsol a tartalék tápra,

· ha a tartalék táp sem használható, akkor a rendszer fokozatosan leállítja a szervereket,

Zárlati leoldásra szelektív áramkörök segítségével a gépteremben több egymástól független működésű rendszer lett kialakítva a folyamatos üzemeltetés támogatására. A villamos zavar, villám és túlfeszültség védelem szempontjából a gépterem nagy értékű, kritikus szolgáltatásokat biztosító berendezései védve vannak a különböző vezetett és sugárzott villamos zavarok, villámok miatt bekövetkező túlfeszültség hatásai ellen:

· a rendszert külön mechanizmusok védik a villámok által keltett elektromágneses impulzusok (EMI) hatása ellen,

· az üzemeltetett berendezések a sugárzott elektromágneses zavarás elleni védelem mindkét elvárását teljesítik: egyrészt védettek az üzemelési környezetükben jelen levő hatások ellen, másrészt nem bocsátanak ki olyan zavaró elektromágneses jeleket, amely a környezetükben üzemelő többi berendezés működését zavarhatná.

Külön akkumulátoros szünetmentes tápegységek biztosítják az alábbi berendezések áramellátását áramszünet esetén:

· tűzjelző berendezés (24 órás üzemképességgel teljes áramszünet esetén),

· telefonközpont (6 órás áramszüneti üzemképességgel).

Légkondicionálás

Az Időbélyegző Szervezet védett számítógép terme hűtésigényének kiszolgálását helyiségenkénti levegő hűtését egy ipari klíma illetve 3 db tartalékként létesített split klíma biztosítja. Mivel a létesítmény föld-alatti, a friss levegő utánpótlásról, illetve elszívásról egy központi rendszer gondoskodik.

Beázás és elárasztás veszélyeztetettsége

Az Időbélyegző Szervezet biztonsági körleteinek kialakítása során figyelembe vették az elárasztás veszélyének minimalizálását. A biztonsági körletek teljes területe mentes a vizesblokkoktól, illetve a közelben nincs sem csatorna, sem vízvezeték. A biztonság növelése érdekében egy nedvességérzékelő riasztó rendszer került telepítésre és beüzemelésre.

Tűzmegelőzés és tűzvédelem

Az Időbélyegző Szervezet géptermét befogadó épületben a helyiségek védelmére kiépített tűzvédelmi rendszer működik.

A helyiségek tűzvédelmét egy tűzjelző és oltóközpont biztosítja. A tűzvédelmi jelzések az épület felügyeleti rendszerre kerültek beintegrálásra, mely a jelzéseket a Magyar Telekom Nyrt. 24 órás diszpécserszolgálatához továbbítja, ahol a szükséges intézkedéseket megteszik. Tűzriasztás esetén az épület-felügyeleti rendszer a légbefújást automatikusan leállítja.

A helyiségek bejáratát tűzgátló ajtó választja el a létesítménytől, így a kialakított termek önálló tűzszakaszt képeznek.

A kiépített tűzvédelmi rendszert (melynek fő elemei: füstérzékelő- és tűzjelző rendszerek, oltókapszulák) az illetékes tűzoltó parancsnokság engedélyezte, rendszeres felülvizsgálatuk biztosított.

Adathordozók tárolása

Az Időbélyegző Szervezet biztonsági körletében egy kódzáras tűzbiztos szekrény szolgál az adathordozók biztonságos tárolására. A szekrényben az Időbélyegző Szervezet mentési példányait tárolják {ld. 5.1.8 A mentési példányok fizikai elkülönítése}. Itt kerülnek elhelyezésre adminisztrálásához, üzemeltetéséhez szükséges adathordozók, ill. az üzemeltetési dokumentációk elektronikus formában.

Hulladék megsemmisítése és selejtezés

Az Időbélyegző Szervezet biztonsági körleteiben a bizalmas minősítésű adatokat tartalmazó elektronikus adathordozókat, még tartalmuk törlése után sem használják fel nem minősített adatok tárolására. A feleslegessé vált, bizalmas minősítésű adatokat tartalmazó adathordozókat fizikailag megsemmisítik:

· a papíralapú dokumentumokat zúzógéppel felaprítják,

· a hajlékony lemezeket (házából való kibontás után) zúzógéppel felaprítják,

· a merev lemezeket (a befogadó épületben központilag biztosított célberendezés felhasználásával) demagnetizálás után fizikailag összetörik.

A mentési példányok fizikai elkülönítése

Az Időbélyegző Szervezet biztonság-kritikus szolgáltatásaira vonatkozó adatok mentési példányait az Időbélyegző Szervezet biztonsági körletében és a Magyar Telekom Központi Katasztrófa Adattárában (a továbbiakban: megőrzési hely) tárolják.

Eljárásbeli óvintézkedések

Az eljárásbeli óvintézkedések célja, hogy a bizalmi munkakörök kijelölésével és elkülönítésével, az egyes munkakörök felelősségének dokumentálásával, az egyes feladatokhoz szükséges személyzeti létszámok, valamint az egyes munkakörökben elvárt azonosítás és hitelesítés meghatározásával Szolgáltató kiegészítse, egyúttal fokozza a fizikai és személyzetre vonatkozó óvintézkedések hatásosságát.

Bizalmi munkakörök

Szolgáltató a 24/2016 (VI.30.) BM rendelet 2§ 1. pontja alapján következő bizalmi munkaköröket határozza meg az alábbi felelősségkörökkel:

· szolgáltató informatikai rendszeréért általánosan felelős vezető.

· biztonsági tisztviselő,

· rendszeradminisztrátor,

· rendszerüzemeltető,

· független rendszervizsgáló,

A Szolgáltatóval munkaviszonyban álló, változó helyszínen dolgozó biztonsági tisztviselő a szolgáltatás biztonságáért általánosan felelős személy munkaköre. Felelős:

· a különböző biztonsági óvintézkedések kidolgozásáért,

· a különböző biztonsági óvintézkedések rendszeres felülvizsgálatáért, a szükségessé váló módosítások kezdeményezéséért,

· a biztonsági óvintézkedések érvényre jutásáért, betartatásáért,

· az informatikai rendszerek biztonsági szintjének megőrzéséért (rendszeres auditok szervezésével).

Az Időbélyegző Szervezettel munkaviszonyban álló, változó helyszínen dolgozó biztonsági tisztviselő közreműködik (egy másik, bizalmi munkakört betöltő társa jelenlétében) az alábbi tevékenységeknél:

· a Szolgáltató időbélyegző szerver kulcsainak generálásánál,

· a Szolgáltató időbélyegző szerver kulcsainak megsemmisítésénél,

Az Időbélyegző Szervezettel munkaviszonyban álló rendszeradminisztrátorok:

· telepítik, konfigurálják és karbantartják az Időbélyegző Szervezet védett számítógép termében üzemeltetett megbízható rendszereket,

· beállítják a fenti megbízható rendszerek kezdeti hálózati konfigurációját,

· kezelik az Időbélyegző Szervezet állományába tartozó rendszeroperátorok vonatkozásában a rendszerhez való hozzáféréseket (account felvétele, jogosultságok beállítása, módosítása, kezdeti jelszó beállítása, a távozó, illetve munkakört váltó rendszeroperátorok hozzáférési jogainak azonnali megszüntetése),

· letöltik és installálják a felügyeletük alatt üzemeltetett operációs rendszerre és adatbázisra kiadott biztonsági javítócsomagokat, ezen keresztül gondoskodnak az informatika biztonsági szint folyamatos megőrzéséről,

· rendszeres időnként ellenőrzik az Időbélyegző Szervezet védett géptermében üzemeltetett informatikai rendszernek és információinak a sértetlenségét,

· elvégzik az Időbélyegző Szervezet védett számítógép termében üzemeltetett megbízható rendszer hálózati konfigurációjának kezdeti beállítását,

· ellenőrzik (áttekintik és kiértékelik) és karbantartják (archiválják és törlik) az általuk felügyelt tűzfalak, behatolást detektáló rendszerek biztonsági naplóit,

· közreműködik az időbélyegző tanúsítványok generálásánál,

· authentikációs tanúsítványokat generál(tat)nak az előfizetők számára,

· gondoskodnak a tűzfalakra, behatolást detektáló rendszerekre kiadott biztonsági javítócsomagok letöltéséről, installálásáról, ezen keresztül a biztonsági szint naprakész megőrzéséről.

· szükség esetén helyreállításokat hajtanak végre.

Az Időbélyegző Szervezettel munkaviszonyban álló rendszerüzemeltetők folyamatosan üzemeltetik az Időbélyegző Szervezet védett számítógép termében működő megbízható rendszereket, melynek során:

· authentikációs tanúsítványokat generál(tat)nak az előfizetők számára,

· közreműködik az időbélyegző tanúsítványok generálásánál,

· tanúsítványokat generál(tat)nak az Időbélyegző Szervezet számára,

· negyedévente archiválást végeznek,

· mentéseket készítenek és gondoskodnak a rendszermentések, illetve az Időbélyegző Szervezet rendszermentés másolatainak biztonságos tárolásáról,

· gondoskodnak a rendszermentésekről készített, elkülönítetten őrzendő másolati példányok megőrzési helyre történő szállításáról {ld. 5.1.8 A mentési példányok fizikai elkülönítése} ,

· szükség esetén helyreállításokat hajtanak végre.

A Szolgáltatóval munkaviszonyban álló független rendszervizsgálók:

· ellenőrzik (áttekinti) és karbantartja (archiválja és törli) az Időbélyegző Szervezet védett számítógép termében működő megbízható rendszer biztonsági naplóit,

· szükség esetén az általuk készített archívumokban keresést végeznek.

Valamennyi fent megnevezett bizalmi munkakört a munkaköri leírások dokumentálják.

A bizalmi munkakörökbe az Adatgazda nevezi ki Szolgáltató munkatársait, a biztonsági alapellenőrzés sikeres befejezése után {ld. 5.3.1 pont}.

Az egyes feladatokhoz szükséges személyzeti létszámok

Általánosan teljesül a Szolgáltató egészére, hogy minden munkatárs csak a saját munkakörének megfelelő funkciókat aktivizálja.

Az Időbélyegző Szervezetnél az alábbi kettős felügyeletet igénylő munkafolyamatok vannak, amelyhez két bizalmi munkakört betöltő személy együttes jelenléte (és előzetes, sikeres hitelesítése) szükséges:

· a Szolgáltató időbélyegző szerver kulcsainak generálásánál,

· a Szolgáltató időbélyegző szerver kulcsainak megsemmisítésénél,

· a Szolgáltató Gyökér Hitelesítő Egységének üzembe helyezése, tanúsítvány kiadása, visszavonása, visszavonási listák kiadása

· a Szolgáltató TrustedTimeStamp szerverei HSM-jében használt nyilvános kulcsait tartalmazó adathordozóknak a Gyökér Hitelesítő Egységhez való továbbításánál, illetve az erre, a Gyökér Hitelesítő Egység által kibocsátott tanúsítvány visszaszállításánál. (megjegyzés: a szerverből két példány van, két külön HSM modullal).

Szolgáltató vonatkozó belső szabályzata meghatározza az egyes feladatokhoz szükséges személyzeti létszámokat is.

Az egyes munkakörökben elvárt azonosítás és hitelesítés

Az Időbélyegző Szervezet valamennyi bizalmi munkakört betöltő munkatársának azonosítása és hitelesítése a Magyar Telekom hatályos szabályzataiban rögzített eljárásokkal történik. Sikeres hitelesítés előtt egyetlen biztonság kritikus tevékenységet sem lehet végrehajtani.

Egymást kizáró munkakörök

Szolgáltató gyakorlatában a bizalmi munkakörök között személyi átfedések nincsenek, minden személy csak egy bizalmi munkakört tölt be, az erre vonatkozó jogszabályi előírásoknak megfelelően. A kialakított és működtetett helyettesítési rend biztosítja a jogszabályban rögzitett összeférhetetlenségi előírások betartását.

1.17 Személyzetre vonatkozó előírások

A személyzetre vonatkozó óvintézkedések célja az emberi hibák, lopás, csalás és a lehetőségekkel való visszaélés kockázatának csökkentése.

Ennek érdekében Szolgáltató külön a személyzetre vonatkozó belső előírással rendelkezik, és ezek szerint jár el, így a személyi biztonsággal már a felvételi szakaszban foglakozik, beleértve a szerződések megkötését, illetve azok alkalmazás során történő ellenőrzését.

Valamennyi bizalmi munkakör esetén a felvételre jelentkezőket biztonsági ellenőrzésnek vetik alá. Minden bizalmi munkakört betöltő alkalmazottnak és külső félnek, akik Szolgáltató szolgáltatásaival kapcsolatba kerülnek, titoktartási nyilatkozatot kell aláírni.

Szolgáltató egyúttal biztosítja a valamennyi munkakör betöltéséhez szükséges közös, általános, illetve az egyes munkakörök betöltéséhez szükséges speciális szakmai ismereteket megszerzését, illetve továbbfejlesztését.

Ennek érdekében Szolgáltató egy két lépcsős (tájékoztatás + továbbképzés) képzési rendszert valósít meg:

· a tájékoztatás valamennyi, a Szolgáltató szolgáltatásaival és az érintett informatikai rendszerével kapcsolatba kerülő munkatárs számára egységes {ld. 5.3.3 pont},

· a továbbképzés moduláris, és az egyes bizalmi munkakörök szerint eltérő felépítésű tananyag szerint történik, a személyre szóló éves továbbképzési terveknek megfelelően {ld. 5.3.4 pont}.

Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények

Az Időbélyegző Szervezet minden bizalmi munkakörére jelölt személyének (emberi megbízhatóságuk és szakmai alkalmasságuk ellenőrzése céljából) egy kezdeti ellenőrzésen (biztonsági alapellenőrzésen) kell keresztülmennie.

A biztonsági alapellenőrzés során az ellenőrzést végző szakemberek, az életrajzban megadott adatokat (életrajzi elemek, referenciák, szakmai előmenetel, stb.) ellenőrzik. Ennek során:

· a képzettségre vonatkozó adatokat egybevetik a jelölt által benyújtandó bizonyítványokkal, diplomákkal,

· a gyakorlati tapasztalatra vonatkozó állításokat személyes referenciákon keresztül, publikációkra alapozva, illetve egyéb úton igazolják.

A bizalmi munkakört betőltő (vagy arra jelölt) személyek és a vezető tisztségviselők esetén büntetlen előélet igazolása (hatósági erkölcsi bizonyítvány beszerzése és bemutatása) is szükséges.

Az egyes bizalmi munkakörök betöltéséhez szükséges képzettség és gyakorlat a következő.

- Informatikai rendszerért általánosan felelős vezető:

· szakirányú felsőfokú végzettség, valamint

· legalább három év informatika biztonsággal összefüggésben szerzett szakmai gyakorlat.

- biztonsági tisztviselő, rendszeradminisztrátor, rendszervizsgáló, rendszerüzemeltető:

· középfokú szakirányú végzettség vagy szakképesítés és legalább öt év informatika biztonsággal összefüggésben szerzett szakmai gyakorlat, vagy

· szakirányú felsőfokú végzettség vagy felsőfokú szakképesítés és legalább három év informatika biztonsággal összefüggésben szerzett szakmai gyakorlat.

Az informatika biztonsággal kapcsolatos valamennyi bizalmi munkakört betöltő munkatársra nézve továbbképzési terv készül, melyet évente áttekintenek (egyúttal az időközben elvégzett továbbképzési, oktatási anyagokkal kiegészítenek), illetve az adott munkakörhöz tartozó szakmai ismeretek megújulása, változása függvényében aktualizálnak.

Előélet vizsgálatára és biztonsági háttér ellenőrzésekre vonatkozó eljárások

Valamennyi bizalmi munkakört betöltő munkatárs biztonsági alapellenőrzésen esik túl {ld. 5.3.1}, emellett mindenkinek időszakos biztonsági ellenőrzéseken is át kell esniük.

Nem tölthet be bizalmi munkakört az a személy, aki akár az alap, akár egy időszakos biztonsági ellenőrzésen a “elfogadhatatlanul nagy biztonsági kockázat” minősítést kapja.

Az időszakos biztonsági ellenőrzésre rendszeres időnként kerül sor:

· a biztonsági tisztviselők esetében 3 évente,

· egyéb bizalmi munkakörök esetében 5 évente.

Az ellenőrzés során vizsgálják a munkatárs erkölcsi bizonyítványát és olyan körülményeket, melyek kockázati tényezőt jelentenek. E mellett figyelembe veszik a közvetlen vezetők véleményét is.

Kiképzési követelmények

Az Időbélyegző Szervezet területén dolgozó valamennyi munkatárs felvételét követően, a saját munkakörének betöltéséhez szükséges elméleti és gyakorlati alapkiképzésben vesz részt.

Valamennyi munkakörbe való végleges kinevezésnek feltétele az alapkiképzésen való részvétel, s az ezt követő írásos teszten legalább “megfelelő” eredmény elérése.

Szolgáltató belső utasításában részletesen szabályozott a bizalmi szerepkörbe történő beléptetést megelőző alapfelkészítés, kinevezés.

Rendszerüzemeltetői munkakörben kinevezett (véglegesített) munkatárs a kinevezést követő két hétig megfelelő gyakorlattal rendelkező kollégával közösen van beosztva (nem lehetséges, hogy a két egyszerre szolgálatban lévő rendszeroperátor mindegyike az adott munkahelyen kezdő).

Továbbképzési gyakoriságok és követelmények

Minden bizalmi munkakört betöltő munkatárs esetében továbbképzési terv készül. (Ez tartalmazza az arra az évre beütemezett szervezett belső továbbképzéseket, illetve külső tanfolyamokon, egyéb továbbtanulási formákban való ismeretszerzést.) A személyes továbbképzési tervet a humánpolitikai részleg bevonásával, a közvetlen vezető évente áttekinti, értékeli és (az érintett munkatárs beleegyezésével) aktualizálja.

Abban az esetben, amikor az időbélyegzés szolgáltatásban jelentős változás következik be, valamennyi munkatárs, az őt érintő mélységben továbbképzésben részesül, illetve megkapja a számára szükséges dokumentációkat.

Kisebb változások bekövetkezése előtt a munkatársak írásos tájékoztatást kapnak a változásokról.

Munkabeosztás körforgásának gyakorisága és sorrendje

Körforgás az egyes munkabeosztások között a Szervezet nem tervez.

A felhatalmazás nélküli tevékenységek büntető következményei

Valamennyi bizalmi munkakört betöltő munkatárs esetén, a munkakörbe kinevezéskor a foglalkoztatási dokumentumok részeként

· írásos tájékoztatást kapott jogszabályi kötelezettségeiről, jogairól, a személyes adatai kezelésére vonatkozó minősítési és kezelési szabályokról,

· munkaköri leírást kapott, mely tartalmazta az őt érintő biztonsági feladatokat,

· titoktartási nyilatkozatot írt alá, melyben a biztonsági intézkedések be nem tartásával járó, őt érintő következmények (büntető szankciók) is megfogalmazódtak.

Mindezek tartalmazzák azokat a munkajogi vagy büntető következményeket, melyek a különböző fegyelem- munkaköri kötelezettség- illetve törvénysértést szankcionálják.

Amennyiben egy munkatárs (gondatlanságból fakadóan vagy szándékosan) megsérti a fenti szabályokat, ellene büntető intézkedéseket hoznak (melyek az elkövetés módjától és következményétől függően a jutalom megvonástól fegyelmi eljárás indításán és kártérítésen át, egészen a hatósági feljelentésig terjedhet).

A szerződéses alkalmazottakra vonatkozó követelmények

Szolgáltató bizalmi munkakörben csak vele (vagy az Időbélyegző Szervezettel) munkaviszonyban álló személyt alkalmaz.

Szolgáltató az egyéb feladatok ellátására, alvállalkozói vagy megbízásos szerződésben foglalkoztatott szerződő személyeket (külső munkavállalókat és ideiglenes alkalmazottakat egyaránt) csak az “ellenőrzött beszállítók” listájáról választ. Az ellenőrzött beszállítókkal az Időbélyegző Szervezet előzetesen írásos megállapodást köt, melyben vállalta Szolgáltató biztonságpolitikájának elfogadását.

Valamennyi szerződő fél – még a tényleges munkavégzés megkezdése előtt – titoktartási nyilatkozatot ír alá, melyben vállalja, hogy a munkavégzés során későbbiekben megismerendő üzleti/vállalati titkokat illetéktelen személynek fel nem fedi, s egyéb módon sem hasznosítja. A titoktartási nyilatkozat záró része tartalmazza a megszegése esetén alkalmazandó szankciókat is.

A külső munkavállalók és ideiglenes alkalmazottak szakmai kiképzésben nem részesülnek, erre nem kötelezettek.

A személyzet számára biztosított dokumentációk

Minden bizalmi munkakört betöltő munkatárs megkapja a következő dokumentumokat:

· a kinevezési eljárás, illetve az alapkiképzés során:

Szolgáltató szervezeti „Biztonsági kódex”,

aláírt titoktartási nyilatkozat,

egyéni munkaköri leírás.

· a tervezett és rendkívüli továbbképzések alkalmával:

az adott oktatási formához tartozó oktatási segédanyagok.

· egyéb esetekben:

személyes továbbképzési terv (évenkénti aktualizálása után),

a munkavégzést érintő kisebb változások leírása (a változások előtt),

módosított biztonsági politika (a bekövetkező változások előtt).

A szervezeti biztonságpolitikában bekövetkező változásokról írásos értesítők formájában mindenki tájékoztatást kap {ld. 5.3.4 Továbbképzési gyakoriságok és követelmények} az említett továbbképzés előtt.

1.18 Naplózási eljárások

Szolgáltató időbélyegző rendszere széleskörű naplózási tevékenységet folytat. A naplóbejegyzések a bejegyzés pontos idejét, a tevékenység időpontját (ha az a bejegyzés idejétől eltér) és végrehajtóját is tartalmazzák. A pontos időt Szolgáltató pontosidő-egysége biztosítja, ami legfeljebb 500 ezredmásodperces eltérést engedélyez a valódi időhöz képest. Az eltérések szintén naplózásra kerülnek.

A tárolt események típusai

A időbélyegzési rendszer által az egységekhez történő valamennyi hozzáférés és tevékenység naplózásra kerül. Így naplózásra kerül:

· a rendszerbe történő belépések és az operációs rendszer szempontjából fontos üzenetek rögzítése,

· a rendszer komponensek konfigurálására, a rendszer módosítására, beavatkozásra vonatkozó események rögzítése,

· minden felhasználó kezeléssel kapcsolatos esemény

· minden időbélyegző szolgáltatói kulccsal, tanúsítvánnyal kapcsolatos esemény

· helyi és külső időforrásokkal való kapcsolatfelvétel és időeltérés.

· a szolgáltatások elérhetősége (leállítása, indítása)

· a naplózási szolgáltatások leállítása, indítása

A napló állomány feldolgozásának gyakorisága

Szolgáltató naplóbejegyzéseinek átvizsgálása különböző gyakorisággal, belső üzemeltetési utasításban rögzített rendszerességgel megtörténik. Szolgáltató hálózati védelmi riasztás funkciókkal is rendelkeznek az erőforrásokhoz történő jogosulatlan hozzáférés észlelésének jelzésére. Ilyen riasztási esetekben a naplóbejegyzéseket soron kívül átvizsgálják. Rendellenességek észleléskor, reklamáció esetén, vagy egyéb megkeresések kapcsán szintén sor kerülhet a napló adatok rendkívüli átvizsgálására.

A napló-állomány megőrzési időtartama

A napló-állományokat 90 napig tárolják a keletkezésük helyén. Ezek után az adatokat egyszer írható médiára archiválják, és a napló-állományok archív adathordozóit biztonságosan megőrzik a keletkezésüktől számított 10 évig, illetőleg a velük kapcsolatban esetleg felmerült jogvita jogerős lezárásáig.

A napló állomány védelme

A napló állományt a véletlen és szándékos rongálások ellen biztonsági mentések védik (ld. 5.4.5 pont). A személyes adatokat tartalmazó naplóbejegyzések esetében Szolgáltató gondoskodik az adatok bizalmas tárolásáról. A napló állományokhoz való hozzáférésre csak azok jogosultak, akiknek erre munkakörük folytán szükségük van. Szolgáltató a hozzáféréseket biztonságos módon ellenőrzi.

Szolgáltató a keletkezett naplóadatok védelme érdekében helyi és valós idejű központi naplógyűjtést is végez. A központi naplógyűjtő hozzáférés szabályozása garantálja a naplóadatok sértetlenségét.

A napló állomány mentési folyamatai

A naplóállományokat a rendzservizsgáló negyedévente archiválja egyszer írható médiára aláírt formában. A mentési médiák a Magyar Telekom Központi Katasztrófa Adattárában kerülnek megőrzésre.

A mentések operatív folyamatait Szolgáltató erre vonatkozó belső szabályzatai írják le részletesen.

A napló gyűjtési rendszere

A naplóbejegyzéseket az alkalmazások automatikusan gyűjtik és tárolják a napló állományokban. A médiákat Szolgáltató saját munkatársai szállítják a megőrzési helyre.

Log-elemzés

A naplóbejegyzések feldolgozása során Szolgáltató naplóadat elemzéseket végez. A napi rendszerességgel végzett feldolgozáson túl Szolgáltató szakemberei havonta áttekintik a rendkívüli eseményeket és ezek alapján elemzéseket végeznek. Ezen elemzések alapján Szolgáltató lépéseket tesz a rendszer biztonságának javítására.

1.19 Adatok archiválása

Szolgáltató informatikai rendszerének biztonsági és egyéb naplózási folyamatait ugyanazon rendszerek végzik, ugyanazon módszerek segítségével. Jelen fejezetben csak Szolgáltató ettől eltérő papír alapú és egyéb speciális archiválási rendszerét ismertetjük.

Az archivált adatok típusai

Szolgáltató szervezete a szerződéskötési eljárás során keletkező iratot tárol és megőriz. Így tárolják:

· a Szolgáltatóhoz benyújtott valamennyi papír alapú kérelmet,

· Szolgáltató és az előfizető között megkötött valamennyi megállapodást.

Az archívum megőrzési időtartama

Szolgáltató valamennyi (papíralapú vagy elektronikus) iratot az előfizetői szerződés megszűnésének idejétől számított 10 évig, illetőleg velük kapcsolatban esetlegesen felmerült jogvita jogerős lezárásáig megőrzi. Szolgáltató a Szolgáltatási Szabályzatot és annak módosításait hatályon kívül helyezést követően 10 évig megőrzi, illetve gondoskodik annak megőrzéséről.

Az archívum védelme

Az iratok biztonságos megőrzéséről és tárolásáról Szolgáltató egy Adattár segítségével gondoskodik, amelyhez a Szolgáltatónak a meghatározott munkatársai rendelkeznek hozzáférési engedéllyel.

A Szolgáltató az időbélyegzés szolgáltatás során elektronikus formában tárolt archivált adatállományt legalább fokozott biztonságú aláírással és minősített időbélyegzővel látja el.

Az archívum mentési folyamatai

Az elektronikus másolati példányban létező iratokat (amennyiben keletkeznek ilyenek) egyszer írható médiára rendszeresen mentik.

Archív információ hozzáférését és ellenőrzését végző eljárások

Az archívumhoz Szolgáltató ügyfélszolgálatán keresztül biztosít hozzáférést. A hozzáférés előfizetőnek a rá vonatkozó adatokhoz lehetséges, más feleknek a 9.4.3, 9.4.4 és 9.4.5 alfejezetek szerint. Szolgáltató a jogosultságot minden esetben ellenőrzi, és azt naplózza.

1.20 Kompromittálódást és katasztrófát követő helyreállítás

Váratlan esemény és kompromittálódás kezelési eljárások

Rendkívüli üzemeltetési helyzet bekövetkezése esetén a szolgáltató haladéktalanul értesíti a Bizalmi Felügyeletet a rendkívüli üzemeltetési helyzet bekövetkezéséről a következő tartalommal:

a) a rendkívüli üzemeltetési helyzet kezdetének, és ha eltér, észlelésének időpontja és a rendkívüli üzemeltetési helyzet leírása,

b) a rendkívüli üzemeltetési helyzet hatása (ennek részeként biztonsági esemény esetén az érintett szolgáltatások, informatikai vagyonelemek és az érintett személyes adatok körének leírása, az érintett bizalmi szolgáltatási ügyfelek száma),

c) c) a rendkívüli üzemeltetési helyzet várható időtartama,

d) d) a rendkívüli üzemeltetési helyzet elhárítása és jövőbeli elkerülése érdekében tett és tervezett intézkedések, és

e) e) a rendkívüli üzemeltetési helyzet megszűnése.

A Szolgáltató a rendkívüli üzemeltetési helyzetről értesíti a szolgáltatást igénybe vevő azon szerződött ügyfeleit, akiket a rendkívüli üzemeltetési helyzet érint, valamint az erről szóló tájékoztatást az interneten elérhetővé teszi.

A Szolgáltató Katasztrófa elhárítási tervben (DRP) részletesen szabályozza a különböző sérülések és katasztrófahelyzetek (beleértve valamely szolgáltatói magánkulcs kompromittálódását, vagy kritikus hardver/szoftver elem meghibásodását is) esetén követendő eljárásokat. A következő fejezetekben e katasztrófa elhárítási irányelveket foglaljuk össze.

Kompromittálódás esetén az 5.6.3 alfejezetben írtak kerülnek alkalmazásra.

Meghibásodott számítási erőforrások, szoftverek és/vagy adatok

Szolgáltató megnövelt biztonságú eszközökkel és rendszerekkel rendelkezik, a hardver- és szoftver-meghibásodások, valamint az adatsérülések minimalizálása érdekében. A szolgáltatások helyreállíthatóságát Szolgáltató háttérszerződései és saját tartalékeszközei garantálják. Szolgáltató rendszeres mentései és tranzakció naplózása biztosítja az adatok visszaállíthatóságát valamely adattároló eszköz kiesésének esetére. Ez a rendszer a legrosszabb esetben az előző napi adatok helyreállítására képes.

Szolgáltató katasztrófa elhárítási terve eseményjelentési előírásokkal rendelkezik valamennyi eszköze meghibásodása, illetve rendellenes működése tekintetében (ezek egy része automatizált, más része a kezelőszemélyzet felelőssége). A jelentéseket szakértő személyzet értékeli ki, és válaszadás eljárásokat foganatosítva minimalizálja az esetleges károkat és szolgáltatás kieséseket.

Egy szolgáltatói egység kulcsának kompromitálódása

Szolgáltató katasztrófa elhárítási terve a szolgáltatói magánkulcsok kompromittálódása esetére akciótervvel rendelkezik. Az akcióterv a szolgáltatói nyilvános kulcs visszavonása mellett feltárja a kompromittálódás körülményeit, intézkedik az ez által érintett valamennyi fél értesítéséről, megteszi a szükséges lépéseket a kompromittálódás megismétlődése ellen és szükség esetén új kulccsal látja el a szolgáltatói egységet.

Működés folyamatosságának biztosítása katasztrófát követően

Szolgáltató elsődleges működési helyszínein kívül másodlagos helyszínekkel is rendelkezik. Természeti vagy más katasztrófát követően, illetve Szolgáltató berendezéseinek olyan mértékű meghibásodását illetően, mely a fentiek szerint nem kezelhető, Szolgáltató a másodlagos helyszínen is képes szolgáltatásainak beindítására. Szolgáltató a helyreállítás során a visszavonási nyilvántartások elérhetőségét elsőként, minden más szolgáltatást és tevékenységet megelőzően biztosítja. Ennek érdekében azok több független forrásból is folyamatosan rendelkezésre állnak (web-es elérés, címtár szolgáltatás produktív és DR site-on).

A szolgáltatások elindítását Szolgáltató 3 órán belül vállalja.

Egy szolgáltatói egység órájának 1 másodpercnél nagyobb eltérése az UTC időtől

A Szolgáltató olyan gyakorisággal szinkronizálja az időbélyegző egységeit az időjel-ellátó egységhez, hogy az eltérés nem haladhatja meg az 500 ezredmásodpercet. Szolgáltató olyan időbélyegző rendszert működtet, amely a megengedettől nagyobb eltérés esetén az időbélyeg kéréseket elutasítja, az időbélyegzés kiadását felfüggeszti. Szolgáltató katasztrófa elhárítási terve erre az esetre akciótervvel rendelkezik. Az akcióterv a probléma okának feltárása mellett lépéseket tartalmaz a szinkron helyre állítása, illetve valamennyi érintett fél felé történő kommunikációra.

1.21 Incidenskezelés

Szolgáltató rendszereiben egységes incidenskezelési folyamatot működtet. A folyamat szabályozását Szolgáltató nem nyilvános belső szabályzói tartalmazzák. Az incidensekről PostMortem készül, melyeket a szolgáltatás kockázatelemzési dokumetumának felülvizsgálata során felhasználnak. Olyan kritikus sebezhetőség észlelése esetén, amelyet a Szolgáltató korábban még nem azonosított, 48 órán belül el kell végezni a sebezhetőség elemzését és tervet kell kidolgozni és végrehajtani a sebezhetőség csökkentésére. Amennyiben Szolgáltató az elemzés során úgy értékeli, hogy a bekövetkezés valószínűsége rendkívül alacsony, illetve nem releváns a szolgáltatás tekintetében, úgy azt dokumentálja.

1.22 Változáskezelés

Szolgáltató rendszereiben a Magyar Telekom szervezeteire egységes belső utasítás szerint végzi a változáskezelést. Az utasítás részletesen szabályozza a folyamat működtetését és mechanizmusait.

Szolgáltató ennek keretében végzi a Patch management tevékenységét, az esetlegesen szükségessé váló konfigurációs, illetve szoftverváltoztatásokat, upgrdae-ket. A változás menedzsment folyamat engedélyezési és tájékoztatási workflow révén kontrollált, megfelelően dokumentált.

1.23 Időszinkronizáció

Szolgáltató biztosítja, hogy az időbélyegzés-szolgáltatáshoz használt időadat szinkronizálódik az UTC idejéhez, attól való eltérése az előírt értéket nem haladja meg. A Szolgáltató időjelet biztosító rendszere (Trusted Time Infrastructure, továbbiakban: TTI) a Magyar Telekom meglévő infrastruktúrájának szerves részeként került kialakításra.

A Szolgáltató által kialakított TTI rendszer hierarchikus időjel ellátási infrastruktúra, melynek egyik időforrása a Magyar Telekom referencia oszcillátora (atomórája). A TTI rendszer szintjei az alábbiak:

· A hierarchia legfelső szintjén elhelyezkedő szerver a referencia időt a GPS műholdakhoz szinkronizálja (amelyek 1 mikroszekundum pontossággal sugározzák a jelet), majd a szinkronizált időjel elérése után átáll a Magyar Telekom atomóra által szolgáltatott nagy pontosságú szinkronjelre. Ezen a szinten található szerver folyamatosan naplóz minden olyan eseményt, amely riasztás, vagy a rendszer üzemeltetése és működése szempontjából fontos.

· Az időbélyegző rendszer tűzfalai kulcsos autentikációt követően szinkronizálnak a legfelső szinten lévő ntp szerverekhez (ntp.telekom.intra infrastruktúra)

· A hierarchia harmadik szintjén helyezkedik el a Szolgáltató egység, amely az első két szinthez hasonlóan időauditot és időkalibrációt követően, biztosítja az időbélyegek előállítását. A Szolgáltató egység maximum 500 ezredmásodperccel térhet el az időszerver által megadott időjeltől. 500 ezredmásodperc vagy attól nagyobb eltérés esetén az időbélyeg kérések elutasításra kerülnek, egészen addig, amíg a rendszer újra nem szinkronizálódik az időszerverek idejéhez.

· Az időbélyegző szerverek naponta két alkalommal vesznek pontos időjelet, mely rendszer naplóban pontosan rögzített.

A TTI rendszer elhelyezése geo-redundáns módon, fizikai behatolástól védetten, kiemelt biztonságú adatközpontokban valósul meg.

1.24 Időbélyeg szolgáltató vagy szervezet leállítás